politicas de seguridad informática
DESCRIPTION
Presentación sobre Políticas de Seguridad. Como crearlas, revisarlas, modificarlas y actualizarlas.TRANSCRIPT
EXAMEN DE GRADOGESTION Y SEGURIDAD DE REDES
Ing. José Miguel CabreraNoviembre - 2012
Santa Cruz - Bolivia
POLITICAS DE SEGURIDAD
COMPONENTES DEL PROCESO DE ADMINISTRACIÓN DE IDENTIDADES Y ACCESO
CONTROL DE ACCESO
Consiste en verificar cómo un usuario se registra o inicia sesión en sus aplicaciones. El control de acceso hace uso de la autenticación, filtrando los accesos en función del usuario, el método de autenticación utilizado, el tipo de estación y localización, e incluso, una auditoría de acceso centralizado
GESTIÓN DE LA IDENTIDAD
Su función principal es la creación de atributos de identidad de usuario. Estos atributos están relacionados con las características de las tareas asignadas al usuario, que definen su posición en la compañía y aparecen en el directorio LDAP de la misma, así como los atributos técnicos del usuario declarados en los sistemas de información
ADMINISTRACIÓN DE ROLES
Definen la policía de acceso y la aplican al proceso de identificación y control de acceso
El procedimiento de aprobación de asignación de roles puede ser parte del proceso de implementación de la política. Por ejemplo, un procedimiento puede habilitar a un empleado para la definición de tareas de usuario, tras lo cual, otro empleado aplicará la política para definir los privilegios de acceso asociados
POLITICA DE SEGURIDAD
Los objetivos básicos de cualquier política de seguridad son los siguientes:
•Proteger a las personas y la información.•Establecer las reglas para el comportamiento esperado de usuarios, administradores del sistema, personal de administración y personal de seguridad.•Autorizar al personal de seguridad para la monitorización, pruebas e investigación.•Definir y autorizar las consecuencias de la violación de las reglas.•Consensuar las directivas básicas sobre seguridad de la información de la compañía.•Minimizar el riesgo.•Facilitar el cumplimiento de las normativas y la legislación
POLITICA DE SEGURIDAD
TIPOS DE POLITICA DE SEGURIDAD
CONTROL DE ACCESO
Consiste en verificar cómo un usuario se registra o inicia sesión en sus aplicaciones. El control de acceso hace uso de la autenticación, filtrando los accesos en función del usuario, el método de autenticación utilizado, el tipo de estación y localización, e incluso, una auditoría de acceso centralizado
GESTIÓN DE LA IDENTIDAD
Su función principal es la creación de atributos de identidad de usuario. Estos atributos están relacionados con las características de las tareas asignadas al usuario, que definen su posición en la compañía y aparecen en el directorio LDAP de la misma, así como los atributos técnicos del usuario declarados en los sistemas de información
ADMINISTRACIÓN DE ROLES
Definen la policía de acceso y la aplican al proceso de identificación y control de acceso
El procedimiento de aprobación de asignación de roles puede ser parte del proceso de implementación de la política. Por ejemplo, un procedimiento puede habilitar a un empleado para la definición de tareas de usuario, tras lo cual, otro empleado aplicará la política para definir los privilegios de acceso asociados
TIPOS DE POLITICAS DE SEGURIDAD
POLÍTICA DE GOBIERNO
Debe cubrir conceptos de seguridad de la información a alto nivel, definir esos conceptos y describir la razón de su importancia. La Política de Gobierno está dirigida a directivos y usuarios finales, por tanto, también es leída por personal técnico, ya que también son usuarios finales. Todos estos grupos utilizan la política para hacerse una idea de cuál es la filosofía sobre seguridad de la información de la compañía.
La Política de Gobierno debe estar fuertemente alineada con las políticas de Recursos Humanos y otras políticas existentes o futuras de la compañía, especialmente las relacionadas con aspectos de seguridad, como el uso del correo electrónico o el acceso a salas de ordenadores.
POLÍTICAS TÉCNICAS
Son utilizadas por el personal del Departamento de Sistemas y Comunicaciones para llevar a cabo sus responsabilidades. Son políticas más detalladas que las Políticas de Gobierno y son específicas para un sistema o aspecto concretos, por ejemplo, Política Técnica para AS-300 o Política de Seguridad Técnica de Nivel Físico.
Las Políticas Técnicas cubren muchos de los aspectos de las Políticas de Gobierno, así como otros conceptos adicionales específicos para una tecnología concreta. Son el manual de cómo un sistema operativo o un dispositivo de red deben ser asegurado.
Describen qué debe ser realizado, pero no cómo realizarlo
DOCUMENTOS PROCEDIMENTALES
Proporcionan directivas paso-a-paso sobre cómo llevar a cabo los enunciados de la política de seguridad. Por ejemplo, una guía para reforzar un servidor Windows puede ser uno de los documentos en los que se apoya la Política Técnica de Sistemas Windows.
Los procedimientos y guías son adjuntos a las políticas y por eso constituyen el siguiente grado de granularidad, describiendo "cómo" algo debe ser ejecutado. Proporcionan información práctica y sistemática sobre cómo implementar los requisitos establecidos en los documentos que recogen la política de seguridad
CREACION DE UNA POLITICA
PASOS PARA LA CREACION DE POLITICAS
Los pasos necesarios para definir una política de control de acceso basada en roles extendida son los siguientes:
1. Recopilación de información acerca de los accesos reales de los usuarios a los sistemas y aplicaciones.
2. Definición de los atributos de usuario: asociación de puesto en la organización y rol con un usuario.
3. Simplificación del modelo.4. Creación de una política a partir de los accesos reales de los usuarios.5. Conciliación de la política con el modelo existente o las declaraciones
realizadas en los sistemas y aplicaciones objetivo.
RECOPILACIÓN DE INFORMACIÓN
La correcta recolección de información sobre los accesos reales de los usuarios al sistema y a las aplicaciones es la base de la aproximación Bottom-Up. Al finalizar esta fase, es obtendrá como resultado una lista con las cuentas de aplicación en uso y los nombres de los usuarios que las utilizan. Esta lista permitirá la definición de una política que refleje la realidad de los accesos y evite los errores ocultos en el interior de los sistemas y aplicaciones.
Esta información debe ser recogida a lo largo de un intervalo de tiempo representativo. El período debe ser lo suficientemente largo (al menos cuatro meses) para cubrir el ciclo de producción/operacional y los períodos de análisis y documentación.
DEFINICIÓN DE LOS ATRIBUTOS DE USUARIO
Los roles están definidos de forma simple a través de su nombre. Pueden tener uno o varios roles "padre" de los cuales heredan los privilegios de acceso dentro de la misma organización. Por tanto, el "Agente Comercial" puede tener dos roles padre "Ventas" y "Gestor", heredando los derechos de acceso a aplicaciones sistemas de ambos. La única condición indispensable en la descripción de roles es que la relación padres/hijos no se convierta en circular.
La definición de estos roles es significativamente menos crítica que en el control de acceso basado en roles no extendido. De hecho, la política objetivo definirá los roles de acuerdo a la estructura de los usuarios.
SIMPLIFICACIÓN DEL MODELO
En esta tercera fase ya se dispone de la siguiente información por cada usuario:
• Identificador de login principal del usuario.• Perfil (posición en la organización, rol).• Lista de accesos realizados durante un intervalo de tiempo determinado.• Los identificadores de login empleados para conectarse a sus aplicaciones.
Este tercer paso posibilitará modificar el modelo para que la política de seguridad refleje la realidad de la organización analizada de la forma más exacta posible. Ya que esta fase es una fase de análisis, debe ser llevada a cabo conjuntamente con los responsables de los departamentos de Sistemas de Información y de Producción. También se pueden utilizar herramientas de análisis estadístico para agrupar los datos y presentarlos de forma más inteligible.
CREACIÓN DE UNA POLÍTICA
Hasta ahora se ha recopilado la siguiente información sobre cada usuario:
• Identificador de login principal del usuario.• Perfil (posición en la organización, rol), simplificado en el paso 3.• Lista de accesos realizados durante un intervalo de tiempo determinado.• Los identificadores de login empleados para conectarse a sus aplicaciones.
En este punto, se puede bien crear una política de seguridad optimizada o bien realizar un proceso de conciliación con la política existente.
CONCILIACIÓN DE LA POLÍTICA
Esta última fase consiste en la comparación de la política creada a partir de los accesos observados con la política ya definida en los sistemas y aplicaciones objetivo, para finalizar así la elaboración de la política de acceso.
Comparando las diferencias, este segundo proceso de conciliación permite analizar las diferencias entre los privilegios de usuario declarados y los existentes en la política de control de acceso generada.
CICLO DE VIDA DE UNA POLITICA
¿PREGUNTAS?
¡GRACIAS!